Informationssicherheits-Audit bei der Medien-Agentur REBEL
Die TISAX®-Prüfung ist heute für ein Unternehmen, das im Umfeld der deutschen Automobilindustrie tätig sein möchte, unentbehrlich. Zunehmende Bedrohungen aus dem Web oder kleine Indiskretionen und Unachtsamkeiten im Arbeitsalltag – Es gibt viele Gründe, warum Firmen sich mit diesem Thema auseinandersetzen sollten oder müssen. Die REBEL Media GmbH aus Hamburg ist so ein Unternehmen.
Die Marketing & Media-Agentur produziert unter anderem Content und Kampagnen für große deutsche Autobauer und war folglich auf ein TISAX®-Assessment angewiesen. Da die nötigen internen Ressourcen aber fehlten, wandte sich die REBEL Media GmbH für eine externe TISAX®-Beratung an TSX Partners aus München. Das Beratungsunternehmen optimierte die Informationssicherheit des Unternehmens innerhalb von 10 Monaten nach dem Erstkontakt hin zu einem erfolgreichen TISAX®-Audit.
Warum eine TISAX®-Beratung?
Informationssicherheit ist nicht erst seit der Bedrohung durch Hackergruppen ein Thema. Seit 2017 setzt der Verband der deutschen Automobilwirtschaft (VDA) auf das TISAX®-Label, da die ISO 27001-Zertifizierung nicht den Anforderungen entsprach. Er legt einen einheitlichen Standard in der Informationssicherheit für alle Lieferanten und Dienstleister fest.
Längst ist die Informationssicherheit auch außerhalb dieser Branche ein Thema: „Als Unternehmer kommt man um Informationssicherheit nicht mehr herum.“, so Gökhan Kurtbay von TSX Partners.
Unaufmerksame Mitarbeiter, fehlende Prozesse oder eine nicht ausreichend geschützte IT bilden ein Einfallstor für Informationsdiebstahl oder ermöglichen das Hacken der Informationssysteme. Beides unerwünschte Fälle. Wenn schützenswerte Informationen geleakt werden, hat das Unternehmen höchstwahrscheinlich mit finanziellen Einbußen oder juristischen Folgen zu rechnen. Im schlimmsten Fall ist es durch ein streikendes IT-System handlungsunfähig.
Doch eine wirksame Informationssicherheit ist nicht einfach zu gewährleisten. Das Feld ist breit und die Kriterien des TISAX®-Labels sind umfangreich. Einzelne Prüfsteine müssen individuell auf das jeweilige Unternehmen angewendet werden. Ein interner Mitarbeiter, der sich in das Thema Informationssicherheit einarbeitet, jeden Prozess des Unternehmens betrachtet, analysiert und ggf. umstellen muss, kommt da schnell an seine Grenzen. Das Aufsetzen etwaiger interner Audits und das Nachhalten, ob neue Handlungsanweisungen umgesetzt werden, fordern zusätzliche Arbeitszeit und verursachen vermeidbare Kosten.
Ein externer, auf Informationssicherheit spezialisierte Dienstleister, greift auf einen deutlich größeren Erfahrungsschatz bei der TISAX®-Beratung zurück. Die Spezialisten kennen die entscheidenden Kriterien, erkennen Schwachpunkte und können als externe Experten fehlerhafte Prozesse und Handlungsweisen deutlich schneller und effektiver umsetzen.
Was macht das REBEL TISAX®-Audit so besonders?
Wie viele andere Unternehmen hat REBEL mehrere Unterfirmen: die REBEL Media GmbH und die REBEL Productions GmbH mit jeweils 10 bis 15 Mitarbeitenden und vielen Freelancern. Wichtig für das Erstaudit war, beide Unternehmen ohne Mehraufwand gleichzeitig nach TISAX® zu zertifizieren. Dies ist TSX Partners innerhalb von 10 Monaten ab dem Erstkontakt gelungen.
Entgegen der ersten Annahme ist die TISAX®-Beratung bei einem kleineren Unternehmen aber nicht einfacher als bei einem großen Konzern, weiß Informationssicherheits-Experte Gökhan Kurtbay zu berichten. Oft gibt es keine eigene IT-Abteilung, sondern die IT-Administration wird von einem Mitarbeiter „nebenbei“ übernommen. Prozesse sind sehr individuell und agil, wodurch das Unternehmen schnell auf Veränderungen reagieren kann, aber auch relativ schwierig zu administrieren ist.
Im Medienumfeld kann das kritisch werden, da mit Bild- und Videomaterial gearbeitet wird, auf dem zum Teil auch unveröffentlichte Modelle oder Features zu sehen sein können. Werden Inhalte geleakt, ist die Reputation des Betroffenen gefährdet. Auch der klassische Ausfall sämtlicher Systeme wäre ein GAU. Wie einige Unternehmen in jüngster Vergangenheit lernen mussten, führt dieser zwangsläufig zu einem Produktionsausfall.
Der Erfolg steht und fällt mit den Mitarbeitenden
Was sich in der Praxis immer wieder als Herausforderung herausstellt, ist über Jahre eingeschliffene Verhaltensmuster durch neue Abläufe zu ersetzen. Insbesondere in einem kreativen Umfeld, mit organisch gewachsenen Prozessen, haben die Mitarbeitenden oft nur wenig Bezug zu scheinbar trockenen Verwaltungsthemen. Hinzu kommt ein recht großer Pool an Freelancern, die ebenfalls alle auditiert werden müssen. Verursacht ein vom Dienstleister beauftragter Freelancer durch Mangel an Informationssicherheit einen Schaden beim Kunden, ist der Dienstleister schadensersatzpflichtig.
Wie kann man dieses Problem lösen? Freelancer arbeiten oft „auf Zuruf“, sind minimal an das Unternehmen gebunden und bevorzugen eine gewisse Selbstbestimmung. Doch auch Freiberufler unterliegen Regeln, die Informationssicherheit sicherzustellen. Unternehmen sind daher verpflichtet, die allgemein für Lieferanten festgelegten Anforderungen zu erfüllen. Erst dann kann ein Pool an Freelancern angelegt werden, aus dem für einzelne Projekte rekrutiert wird.
Für Informationssicherheit gibt es keinen Endpunkt
Wie geht es nach dem erfolgreichen TISAX®-Audit für REBEL weiter? Es gibt keinen Endpunkt für ein Informationssicherheitsmanagementsystem (ISMS), denn nach drei Jahren muss das Assessment wiederholt werden.
Die dauerhafte Pflege des ISMS ist mindestens genauso wichtig wie die Vorbereitung auf das vorherige erste TISAX®-Label. Das beinhaltet die Durchführung interner Audits, die Prüfung der Lieferanten- und Asset-Liste sowie das Risikomanagement. Dies vereinfacht nachfolgende Zertifizierungs- und Auditprozesse und ermöglicht die weitere Beauftragung in der Lieferkette. Den Aufbau und die Pflege eines ISMS können wir als Informationssicherheitsberatung gerne für Sie übernehmen, denn: nach dem Audit ist schließlich vor dem Audit.
Wenn Sie sich auch für das Thema TISAX®-Beratung interessieren, lesen Sie hier mehr und verschaffen Sie sich von TSX Partners einen Eindruck!
Disclaimer:
TISAX® ist eine eingetragene Marke der ENX Association.
Zwischen TSX Partners powered by CNX Consulting Partners und der ENX Association besteht hinsichtlich der vorstehend beschriebenen Beratungsleistungen keine geschäftliche Beziehung. Mit der Nennung der Marke TISAX® ist keine Aussage des Markeninhabers zur Geeignetheit der hier beworbenen Leistungen verbunden.
